تقرير ثغرات WordPress: أبريل 2021 ، الجزء 4

نشرت: 2021-04-28

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي هذا التقرير مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress. سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.

في تقرير أبريل ، الجزء 4

احصل على تقرير ثغرات iThemes Security WordPress الذي تم تسليمه إلى صندوق الوارد الخاص بك

اشترك في التقرير

نقاط الضعف الأساسية في ووردبريس

تم إصدار WordPress 5.7.1 في 15 أبريل 2021. يتضمن إصدار الأمان والصيانة هذا 26 إصلاحًا للأخطاء بالإضافة إلى إصلاحين للأمان. نظرًا لأن هذا إصدار أمني من نواة WordPress ، فمن المستحسن أن تقوم بتحديث مواقعك على الفور!

نقاط الضعف في البرنامج المساعد WordPress

1. الأكورديون

الضعف : البرمجة النصية عبر المواقع المعكوسة المصادق عليها
مصححة في الإصدار : 2.2.30
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.2.30+.

2. RSS لـ Yandex Turbo

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 1.30.1
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.30+.

3. إضافات Kaswara Modern VC

الثغرة الأمنية : تحميل ملف تعسفي غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

4. حماية نسخ محتوى WP & لا انقر بزر الماوس الأيمن

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 3.4.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 3.5.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 3.5.1+.

5. بريد التسويق الشرطي لـ WooCommerce

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 1.6
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 1.5.2
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.6+.

6. Captchinoo ، جوجل recaptcha لصفحة تسجيل دخول المسؤول

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

7. وضع الصيانة WP والموقع قيد الإنشاء

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

8. شجرة خريطة الموقع

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

9. حماية تسجيل الدخول - الحد من محاولات تسجيل الدخول الفاشلة

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

10. إحصائيات حركة الزوار في الوقت الحقيقي

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 2.13.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 2.12
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.13+.

11. تسجيل الدخول كمستخدم أو عميل

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
مصححة في الإصدار : 2.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
مصححة في الإصدار : 1.8.1
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.1+.

12. إعادة توجيه 404 إلى الأصل

الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.1
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.3.1+.

13. حدد كافة الفئات والتصنيفات

الضعف : انعكاس البرمجة عبر المواقع
مصححة في الإصدار : 1.3.2
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.3.2+.

14. مدير ترخيص البرنامج

الضعف : CSRF إلى XSS المخزنة
مصححة في الإصدار : 4.4.6
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.4.6+.

15. بائع السيارة - سيناريو الإعلانات المبوبة

الثغرة الأمنية : حقن SQL غير مصدق
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

16. Store Locator Plus

الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

17. إضافات سعيدة لـ Elementor Free & Pro

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة
مصححة مجانية في الإصدار : 2.24.0
Pro Patched في الإصدار : 1.17.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.24.0+ (مجاني) / 1.17.0+ (Pro).

18. WP Fastest Cache

الثغرة الأمنية : حذف ملف تعسفي مصدق عليه عبر مسار اجتياز
مصححة في الإصدار : 0.9.1.7
درجة الخطورة : منخفضة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 0.9.1.7+.

19. WPGraphQL

الضعف : رفض الخدمة
مصححة في الإصدار : لا يوجد إصلاح معروف
درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

20. WooCommerce

الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
مصححة في الإصدار : 5.2.0
درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 5.2.0+.

ثغرات ثغرات سمة WordPress

لم يتم الكشف عن أي ثغرات أمنية جديدة هذا الأسبوع.

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.